À partir de vSphere 6.0, les hôtes ESXi sont provisionnés avec des certificats par VMCA par défaut. Vous devez plutôt utiliser le mode de certification personnalisée ou, à des fins de débogage, le mode d'empreinte. Dans la plupart des cas, les changements de mode sont perturbateurs et ne sont pas nécessaires. Si un changement de mode s'impose, évaluez l'impact potentiel avant de commencer.

Dans vSphere 6.0 et versions ultérieures, vCenter Server prend en charge les modes de certificat suivants pour les hôtes ESXi.

Tableau 1. Modes de certificat des hôtes ESXi

Mode de certificat

Description

Autorité de certification VMware (par défaut)

Par défaut, l'autorité de certification VMware est utilisée comme autorité de certification pour les certificats des hôtes ESXi. VMCA est l'autorité de certification racine par défaut, mais elle peut être définie comme autorité de certification intermédiaire vers une autre autorité de certification. Dans ce mode, les utilisateurs peuvent gérer des certificats dans vSphere Web Client. Ce mode est également utilisé si VMCA est un certificat subordonné.

Autorité de certification personnalisée

Certains clients préfèrent gérer leur propre autorité de certification externe. Dans ce mode, les clients sont responsables de la gestion des certificats et ne peuvent pas les gérer depuis vSphere Web Client.

Mode d'empreinte

vSphere 5.5 utilisait le mode d'empreinte et ce mode est toujours disponible comme option de secours pour vSphere 6.0. N'utilisez ce mode que si vous rencontrez des problèmes insolubles avec l'un des deux autres modes. Certains services vCenter 6.0 et versions ultérieures ne fonctionnent pas correctement en mode d'empreinte.

Utilisation de certificats ESXi personnalisés

Si la stratégie de votre entreprise impose l'utilisation d'une autorité de certification racine autre que VMCA, vous pouvez changer le mode de certification de votre environnement après avoir procédé à une planification rigoureuse. Le workflow recommandé est le suivant.

  1. Obtenez les certificats que vous souhaitez utiliser.

  2. Retirez tous les hôtes du serveur vCenter Server.

  3. Ajoutez le certificat racine de l'autorité de certification personnalisée à VECS.

  4. Déployez les certificats de l'autorité de certification personnalisée sur chaque hôte et redémarrez les services sur cet hôte.

  5. Passez au mode d'autorité de certification personnalisée. Reportez-vous à Changer le mode de certificat.

  6. Ajoutez les hôtes au système vCenter Server.

Passage du mode d'autorité de certification personnalisée au mode VMCA

Si vous utilisez le mode d'autorité de certification personnalisée et en venez à la conclusion que VMCA fonctionne mieux dans votre environnement, vous pouvez procéder au changement de mode après une planification rigoureuse. Le workflow recommandé est le suivant.

  1. Retirez tous les hôtes du système vCenter Server.

  2. Sur le système vCenter Server, retirez de VECS le certificat racine de l'autorité de certification tierce.

  3. Passez au mode VMCA. Reportez-vous à Changer le mode de certificat.

  4. Ajoutez les hôtes au système vCenter Server.

Remarque :

Tout autre workflow pour ce mode peut entraîner un comportement imprévisible.

Conservation des certificats du mode d'empreinte pendant la mise à niveau

Le passage du mode VMCA au mode d'empreinte peut être nécessaire si vous rencontrez des problèmes avec les certificats VMCA. En mode d'empreinte, le système vCenter Server vérifie uniquement la présence et le format d'un certificat, mais pas sa validitié. Voir Changer le mode de certificat pour plus d'informations.

Passage du mode d'empreinte au mode VMCA

Si vous utilisez le mode d'empreinte et que vous souhaitez commencer à utiliser des certificats signés par VMCA, le changement nécessite de la planification. Le workflow recommandé est le suivant.

  1. Retirez tous les hôtes du système vCenter Server.

  2. Passez au mode de certification VMCA. Reportez-vous à Changer le mode de certificat.

  3. Ajoutez les hôtes au système vCenter Server.

Remarque :

Tout autre workflow pour ce mode peut entraîner un comportement imprévisible.

Passage du mode d'autorité de certification personnalisé au mode d'empreinte

Si vous rencontrez des problèmes avec votre autorité de certification personnalisée, envisagez de passer temporairement au mode d'empreinte. Le changement s'effectue de façon transparente si vous suivez les instructions de la section Changer le mode de certificat. Après le changement de mode, le système vCenter Server vérifie uniquement le format du certificat et ne vérifie plus la validité du certificat proprement dit.

Passage du mode d'empreinte au mode d'autorité de certification personnalisée

Si vous définissez votre environnement sur le mode d'empreinte pendant un dépannage et que vous souhaitez commencer à utiliser le mode d'autorité de certification personnalisée, vous devez d'abord générer les certificats requis. Le workflow recommandé est le suivant.

  1. Retirez tous les hôtes du système vCenter Server.

  2. Ajoutez le certificat racine de l'autorité de certification personnalisée au magasin TRUSTED_ROOTS dans VECS sur le système vCenter Server. Reportez-vous à Mettre à jour le magasin TRUSTED_ROOTS de vCenter Server (Certificats personnalisés).

  3. Pour chaque hôte ESXi :

    1. Déployez le certificat et la clé de l'autorité de certification personnalisée.

    2. Redémarrez les services sur l'hôte.

  4. Passez au mode personnalisé. Reportez-vous à Changer le mode de certificat.

  5. Ajoutez les hôtes au système vCenter Server.